1/7 Advies 27/2017 van 24 mei 2017 Betreft: adviesaanvraag m.b.t. een ontwerp van koninklijk besluit houdende samenstelling en organisatie van de interministeriële Commissie voor de strijd tegen namaak en piraterij ter uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht. (CO-A-2017-020) De Commissie voor de bescherming van de persoonlijke levenssfeer ; Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 29; Gelet op het verzoek om advies van Dhr. Kris Peeters, minister van Economie, ontvangen op 05/04/2017; Gelet op het verslag van de heer Serge Mertens de Wilmars Brengt op 24 mei 2017 het volgend advies uit:
Advies 27/2017-2/7 VOORAFGAANDE OPMERKING De Commissie vestigt er de aandacht op dat er recent nieuwe Europese regelgeving inzake de bescherming van persoonsgegevens werd uitgevaardigd: betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens Deze akten verschenen in het Europese Publicatieblad van 4 mei 2016 [1]. De verordening, meestal GDPR (general data protection regulation) of AVG (Algemene verordening gegevensbescherming) genaamd, is twintig dagen na publicatie of op 24 mei 2016 van kracht en wordt, twee jaar later automatisch van toepassing, zijnde op 25 mei 2018. De richtlijn voor politie en justitie moet via nationale wetgeving omgezet worden tegen uiterlijk 6 mei 2018. Voor de Verordening betekent dit dat vanaf 24 mei 2016, gedurende de uitvoeringstermijn van twee jaar, op de lidstaten enerzijds een positieve verplichting rust om alle nodige uitvoeringsbepalingen te nemen en anderzijds ook een negatieve verplichting, de zogenaamde onthoudingsplicht. Laatstgenoemde verplichting houdt in dat er geen nationale wetgeving mag worden uitgevaardigd die het door de Verordening beoogde resultaat ernstig in gevaar zou brengen. Ook voor de Richtlijn gelden gelijkaardige principes. Het verdient dan ook aanbeveling om desgevallend nu reeds op deze akten te anticiperen. Het behoort in de eerste plaats aan de adviesaanvrager(s) toe om hiermee rekening te houden in zijn (hun) voorstellen of ontwerpen. De Commissie heeft in onderhavig advies, in de mate van het mogelijke en onder voorbehoud van mogelijke bijkomende toekomstige standpunten, alvast gewaakt over de hoger geschetste negatieve verplichting. [1] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad http://eur-lex.europa.eu/legal-content/nl/txt/?uri=oj:l:2016:119:toc http://eur-lex.europa.eu/legal-content/fr/txt/?uri=oj%3al%3a2016%3a119%3atoc
Advies 27/2017-3/7 I. VOORWERP VAN DE ADVIESAANVRAAG 1. De minister van economie vraagt een advies aan de Commissie voor de bescherming van de persoonlijke levenssfeer (hierna de Commissie) over een ontwerp van koninklijk besluit houdende samenstelling en organisatie van de interministeriële Commissie voor de strijd tegen namaak en piraterij ter uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht. Context 2. Het koninklijk besluit strekt ertoe om, in uitvoering van de artikelen XV.58 en XV.59 van het Wetboek van economisch recht, formeel een interministeriële Commissie voor de strijd tegen namaak en piraterij op te richten (hierna de interministeriële Commissie) in de schoot van de interministeriële Economische Commissie (IEC). 3. De oprichting van de interministeriële Commissie wil de samenwerking bevorderen tussen de diensten die betrokken zijn bij de strijd tegen namaak en piraterij zoals de FOD Financiën (administratie Douane en Accijnzen), de FOD Economie (Algemene directie Economische Inspectie, Algemene directie Economische Reglementering), de FOD Justitie, het Federaal parket, de Federale politie, het Federaal agentschap voor geneesmiddelen en gezondheidsproducten en het Federaal Agentschap voor de Veiligheid van de Voedselketen. 4. Uit artikel 2, 1 van het ontwerp van koninklijk besluit blijkt dat, onder de relevante gegevens ook persoonsgegevens in de zin van artikel 1, 1 van de WVP zouden kunnen worden verwerkt en in dat geval zouden de bepalingen van de WVP van toepassing zijn. 5. Bij gebrek aan verdere preciseringen, enerzijds over de verwerkingen van persoonsgegevens, en anderzijds over de aard van deze gegevens, kan de Commissie in haar advies enkel de basisprincipes van de WVP herhalen die elke verwerking van persoonsgegevens omkaderen. II. ONDERZOEK TEN GRONDE A. Finaliteitsbeginsel Aangaande de verwerking voorzien in artikel 2, 1, 2 6. Overeenkomstig artikel 4, 1, 2 WVP moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen en niet verder te
Advies 27/2017-4/7 worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name de redelijke verwachtingen van de betrokkene en met de toepassing van de wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Een latere verwerking voor historische, statistische of wetenschappelijke doeleinden wordt evenwel niet beschouwd als onverenigbaar als die wordt verricht overeenkomstig de voorwaarden als bepaald in het Koninklijk besluit van 13 februari 2001 houdende uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna het Koninklijk besluit van 13 februari 2001), en na advies van de Commissie. 7. Terloops merkt de Commissie op dat een statistisch en wetenschappelijk onderzoek in principe en bij voorkeur moet gebeuren aan de hand van anonieme gegevens 1 en dit in navolging van artikel 4, 1, 3, WVP en naar analogie met artikelen 3 e.v. van het koninklijk besluit van 13 februari 2001. Wanneer het onderzoeksdoeleinde (wetenschappelijk, statistisch en/of beleidsondersteunend) niet kan worden verwezenlijkt aan de hand van anonieme gegevens, mogen gecodeerde persoonsgegevens 2 worden verwerkt. Slechts in laatste instantie en voor zover ook gecodeerde persoonsgegevens niet zouden toelaten het beoogde doeleinde te verwezenlijken, kunnen niet-gecodeerde persoonsgegevens worden gebruikt. Aangaande de verwerking voorzien in artikel 2, 1, 5 8. Artikel 2, 1, 5 van het ontwerp van koninklijk besluit bepaalt dat de interministeriële Commissie als opdracht heeft "toe te zien op het creëren van synergieën op lokaal niveau tussen de bevoegde autoriteiten met het oog op een operationele samenwerking in de strijd tegen namaak en piraterij van intellectuele eigendomsrechten». 9. Het is voor de Commissie onmogelijk uit te maken of het "creëren van synergieën op lokaal niveau" een verwerking van persoonsgegevens impliceert. In de veronderstelling dat de interministeriële Commissie zou genoopt worden persoonsgegevens te verwerken, en bij gebrek aan preciseringen over de aard en de doeleinden van de geplande verwerking, kan de Commissie zich niet uitspreken over de legitimiteit en de rechtmatigheid van de verwerking in het raam van artikel 5, eerste lid, c) van de WVP. 1 Zie artikel 1, 5 van het koninklijk besluit van 13 februari 2001. anonieme gegevens: gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn. ". 2 Zie artikel 1, 3 van het koninklijk besluit van 13 februari 2001. gecodeerde persoonsgegevens: persoonsgegevens die slechts door middel van een code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon. ".
Advies 27/2017-5/7 10. De Commissie vestigt de aandacht op het feit dat de interministeriële Commissie, in het raam van de in het koninklijk besluit beschreven opdrachten, genoopt zou kunnen worden tot het verwerken van gerechtelijke gegevens in de zin van artikel 8, 1, van de WVP. Zoals reeds gezegd kan de Commissie zich zonder verduidelijkingen niet uitspreken over de legitimiteit en de rechtmatigheid van de verwerking in het raam van artikel 8, 2, van de WVP. Aangaande modaliteiten van de uitwisseling van gegevens tussen de bevoegde autoriteiten en openbare diensten in toepassing van artikel 2, 1, 6 van het ontwerp van koninklijk besluit 11. Krachtens de bestaande reglementering is de mededeling van persoonsgegevens door de verschillende entiteiten van de Federale overheid onderworpen aan een machtiging van het Sectoraal comité Federale Overheid. Bij het verlenen van een machtiging evalueert dit Sectoraal comité of de mededeling van persoonsgegevens in overeenstemming is met de bepalingen inzake bescherming van de persoonlijke levenssfeer in het algemeen. Het Sectoraal Comité beslist dus over de conformiteit van de verwerkingen die krachtens artikel 2, eerste lid, 6 van het ontwerp van koninklijk besluit worden uitgevoerd. 12. Niettemin veroorloven wij ons uw aandacht te vestigen op het feit dat in het raam van de uitwisseling van gegevens tussen bevoegde autoriteiten enkel gemachtigde personen en/of autoriteiten over een toegang beschikken en zij enkel de gegevens mogen raadplegen waarvoor zij werden gemachtigd of enkel de verrichtingen mogen uitvoeren waarvoor zij een machtiging ontvingen. Dit vereist de uitwerking van een betrouwbaar gebruikers- en toegangsbeheer dat vaststelt welke gebruiker/toepassing toegang krijgt in welke hoedanigheid en in welke situatie tot welke soort gegevens betreffende welke personen en voor welke periode. 3 B. Proportionaliteitsbeginsel 13. Artikel 4, 1, 1 van de WVP bepaalt dat de persoonsgegevens toereikend, ter zake dienend en niet overmatig dienen te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen en waarvoor zijn verder worden verwerkt. De verantwoordelijke voor de verwerking moet bij de keuze voor een bepaalde verwerkingswijze, erover waken dat hij opteert voor die modaliteiten die het minst de privacy van de betrokkenen aantasten. Een inmenging in het recht op bescherming van de gegevens van de betrokkenen, moet voor de 3 Aanbeveling met betrekking tot het toegangs- en gebruikersbeheer in de overheidssector (SE/2008/028) https://www.privacycommission.be/sites/privacycommission/files/documents/aanbeveling_01_2008_0.pdf
Advies 27/2017-6/7 verwerkingsverantwoordelijke immers proportioneel zijn ten opzichte van de doeleinden van die verwerking. 14. Aangezien de doeleinden van de verwerking niet werden gepreciseerd is de Commissie niet in staat zich uit te spreken over de verenigbaarheid van de verwerkingen bepaald in het koninklijk besluit van 13 februari 2001 met het proportionaliteitsbeginsel. C. Bewaringstermijn 15. Overeenkomstig artikel 4, 1, 5 van de WVP mogen persoonsgegevens niet langer worden bewaard, in een vorm die het mogelijk maakt de betrokkenen te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder verwerkt. D. Veiligheidsbeginsel 16. Het veiligheidsprincipe bij persoonsgegevensverwerkingen, als bedoeld in artikel 16 van de WVP, verplicht iedere verantwoordelijke voor de verwerking om de passende technische en organisatorische maatregelen te nemen om de persoonsgegevens te beschermen die hij verwerkt en zich te beveiligen tegen oneigenlijk gebruik. Het toereikend karakter van deze beveiligingsmaatregelen hangt enerzijds af van de stand van de techniek en de kosten en anderzijds van de aard van de te beschermen gegevens en de potentiële risico s. 17. De Commissie verwijst hiervoor naar de Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens terug te vinden op haar website 4. 18. De verwerkingen waarvan sprake in artikel 2, 1, 2, 5 en 6 zullen moeten voorzien in waarborgen teneinde de persoonsgegevens te beschermen. 4 Beschikbaar op dit adres: http://www.privacycommission.be/sites/privacycommission/files/documents/referentiemaatregelen_voor_de_beveiliging_van_ elke_verwerking_van_persoonsgegevens_0.pdf
Advies 27/2017-7/7 OM DEZE REDENEN Bij gebrek aan preciseringen aangaande de in het koninklijk besluit voorziene verwerkingen van persoonsgegevens, kan de Commissie enkel de toepasselijke bepalingen van de WVP herhalen en kan zij zich in de huidige stand van het dossier niet uitspreken over de conformiteit van het koninklijk besluit met de toepasselijke bepalingen inzake bescherming van de persoonlijke levenssfeer. De Wnd. Administrateur, De Voorzitter, (get.) An Machtens (get.) Willem Debeuckelaere